Наличие Интернета и развитие цифровых технологий сегодня динамично изменяют привычные сферы человече­ской жизни, трансформируя экономику, делая её цифровой. Масштаб изменений и его инновационная значимость суще­ственны настолько, что в Европейском союзе полагают, что на­циональные государства не справляются с проблемами проис­ходящих трансформаций в силу ограниченности собственных возможностей. Необходима скоординированная политика и общие правовые рамки. Данные аргументы и легли в основу создания Стратегии Единого цифрового рынка Европейского союза (Digital Single Market), которая была представлена в Со­общении Европейской комиссией в 2015 г.

Цель данной статьи - кратко проследить эволюцию из­менений, предпринятых в законодательстве ЕС, характеризу­ющих быстро развивающуюся в последние годы совместную деятельность стран-членов Евросоюза в области кибербезопас­ности.

Согласно статье 3 Договора о Европейском союзе, Союз создает внутренний рынок. Внутренний рынок, по формули­ровке статьи 26 Договора о функционировании Европейско­го союза, охватывает пространство без внутренних границ, в котором согласно положениям Договоров обеспечивается свободное передвижение товаров, лиц, услуг и капиталов. В современных условиях только через создание Единого цифро­вого рынка - общего цифрового пространства - возможно дей­ствительно обеспечить свободное перемещение товаров, лиц, услуг и капитала в ЕС, то есть создать тот внутренний рынок, который является целью Европейского союза.

В Сообщении Европейской комиссии сформулировано три основополагающих элемента («опоры»), на которых будет основываться Стратегия Единого цифрового рынка: 1) облег­чение доступа потребителей и бизнеса к товарам и услугам посредством использования Интернета в пределах всего ЕС; 2) создание благоприятных условий для развития цифровых сетей и услуг; 3) содействие максимальному повышению по­тенциала европейской цифровой экономики.

Среди задач, направленных на создание благоприятных условий для развития цифровой экономики, особое место, со­гласно Стратегии, занимает устранение непоследовательности в регулировании этой сферы на уровне ЕС и гармонизация правовых подходов государств-членов к регулированию отно­шений в цифровом пространстве. Так вот, it юрист в сфере информационных технологий занимается юридическим сопровождением бизнеса компании, функционирующей в условиях цифровой экономики. Занимается юридическим сопровождением бизнеса компании, функционирующей в условиях цифровой экономики.

Новый тип отношений, который формируется в цифро­вом пространстве, требует реализации целого ряда мер по повышению доверия среди участников взаимодействия. Государствам-членам ЕС жизненно необходимо укрепление без­опасности функционирования цифровой экономики и раз­витие способности противостоять киберугрозам. Основания для беспокойства по данному поводу в странах ЕС существуют достаточно серьёзные.

Так, например, в различных документах Еврокомиссии утверждается, что с начала 2016 г. в мире происходит более 4 тыс. компьютерных атак (ransomware) в день и масштаб «циф­ровых угроз» быстро возрастает, давая рост в 300 % по сравне­нию с данными 2015 г.

Согласно другим данным Комиссии ЕС, только за минув­ший год киберугрозам в той или иной степени подверглось 80% компаний стран Евросоюза, а экономическое влияние ки­берпреступности удвоилось в период с 2013 по 2017 г. и спо­собно вырасти вчетверо к 2019 г.;

Согласно опросам Евробарометра, количество граждан стран ЕС, считающих кибер-преступления вызовом всему Евросоюзу увеличивалось, при этом 87% респондентов по­лагали, что данная угроза имеет внутреннее происхождение. Около 70% опрошенных опасались возможностей оказаться жертвой вредоносных программ, кражи персональных дан­ных, номеров банковских карт, онлайн платежей и т.п. Харак­терно, что только около половины опрошенных заботились о безопасности своих онлайн-транзакций сами, меняя, напри­мер пароли. Одновременно выяснилось, что многие стали из­бегать покупок онлайн, а каждый десятый респондент и вовсе прекратил их делать. Проблема доверия пользователей к ре­алиям и условиям развивающегося цифрового рынка, таким образом, очевидна.

Для повышения доверия к цифровой среде необходимо обеспечить защиту персональных данных и защиту объектов критической инфраструктуры. Понятно, что сбой в работе объектов критической инфраструктуры может отразиться на безопасности и благосостоянии не только отдельных госу­дарств, но и самого Европейского союза в целом. Серьезные последствия может иметь утрата контроля над персональны­ми данными. Уже в 2011 г. Европол констатировал, что к тому времени фактически уже сформировалась «теневая» цифро­вая экономика, в которой ключевым товаром являются данные.

В то же время, набирает обороты и другая значимая тен­денция. Общество переходит от использования отдельных под­ключенных к общей сети устройств к Интернету вещей, в кото­ром объекты и люди будут взаимосвязаны через постоянный обмен информацией (данными) о статусе каждого элемента и состоянии окружающей среды. Соответственно, в дальнейшем ценность данных будет увеличиваться, а их уязвимость повы­шаться. Так, например, в недавнем докладе Европола «Оценки угроз со стороны организованной преступности в Интернете» (The 2017 Internet Organised Crime Threat Assessment (IOCTA)) подчеркивается, что происходит заметное сближение интере­сов киберпреступности и организованной преступности, опи­рающихся на возможности теневой цифровой экономики, из чего следует вывод о том, что атаки на персональные данные будут становиться все более изощренными.

Для устранения пробелов в наднациональном регулиро­вании противодействия атакам на объекты критической ин­фраструктуры в 2016 году была принята Директива о сетевой и информационной безопасности (The Directive on security of network and information systems (NIS Directive)). До мая 2018 года государства-члены должны имплементировать её поло­жения в свои национальные законодательства. В частности, им понадобится принять национальные стратегии кибербезопас­ности, определяющие стратегические цели, соответствующую политику и меры регулирования этой области. Показательно, что к концу 2017 года 25 государств-членов ЕС либо обновили, либо разработали национальные киберстратегии. Существен­но, что Директива предусматривает также создание «Группы сотрудничества» для содействия стратегическому сотрудниче­ству и обмену информацией между государствами-членами, в том числе путем подготовки руководящих документов для облегчения имплементации и реализации положений Ди­рективы, касающихся операторов услуг жизнеобеспечения (operators of essential services).

Важнейшим координирующим положением Директивы можно считать создание Сети групп реагирования на инци­денты компьютерной безопасности (CSIRTs). В сеть должны входить соответствующие подразделения в каждом из госу­дарств-членов ЕС. Европейское агентство по сетевой и инфор­мационной безопасности (ENISA) намерено активно поддер­живать сотрудничество между этими группами.

Помимо обязательств для государств-членов, Директива также устанавливает определенные обязательства в отноше­нии негосударственных участников. Предприятия, имеющие важную роль для общества и экономики, обозначенные в Директиве как «операторы услуг жизнеобеспечения» (к ним относится, в том числе, цифровая инфраструктура) должны обеспечить надлежащий уровень цифровой безопасности предоставляемых ими услуг и уведомлять о серьезных инци­дентах соответствующий национальный орган. Эти обязанно­сти возложены и на поставщиков цифровых услуг.

Таким образом, Директива NIS должна стать основой об­щеевропейского сотрудничества по противодействию серьез­ным инцидентам в цифровом пространстве и способствовать улучшению условий для развития взаимодействий в цифро­вой среде.

Другой ключевой задачей для развития цифровых от­ношений являет защита персональных данных. В 2016 году, в рамках масштабного изменения правового регулирования данной сферы был принят т.н. называемый Общий регламент по защите данных (General Data Protection Regulation (GDPR)), заменяющий Директиву ЕС по защите данных 95/46/EC.^[7] Этот Регламент призван защитить права физических лиц в отно­шении обработки персональных данных всеми компаниями, предлагающими свои услуги на европейском рынке. Таким образом, GDPR распространяется, в том числе, на компании, находящиеся за пределами ЕС, чья деятельность по обработ­ке персональных данных связана с предложением товаров и услуг субъектам данных на территории ЕС. На обработчиков данных возложен целый ряд обязанностей. Регламент устанав­ливает многоуровневые санкции за нарушения законодатель­ства о защите данных. Общий регламент вступит в силу 25 мая 2018 года.

В 2017 году Европейской комиссией внесен также про­ект Регламента об уважении частной жизни и защите персо­нальных данных в электронных коммуникациях. Этот регла­мент должен прийти на смену Директиве 2002/58/EC (ePrivacy Directive). Проект находится на стадии рассмотрения.

Два этих документа должны заложить основы регулирова­ния защиты персональных данных в ЕС. При этом по общему правилу, Регламенты будут иметь прямое действие в государ­ствах-членах ЕС без необходимости имплементации их поло­жений на уровне национального законодательства. Очевидным, таким образом, становится стремление к унификации правово­го регулирования этой сферы на всей территории Европейского союза. Более того, принимая во внимание трансграничный характер передачи данных, часть положений общего Регламента распространяется на лиц, учреждённых за пределами ЕС. В на­стоящее время неясно, будут ли ведущие торговые партнеры ЕС адаптировать свое законодательство с учетом этих изменений, но возможно Общий регламент окажет воздействие на общемиро­вой порядок обработки персональных данных.

Для реализации обозначенных в Стратегии построения Единого цифрового рынка задач, связанных с обеспечением кибербезопасности, в 2016 году Европейская комиссия и Ев­ропейская организация по кибербезопасности (ECSO) подпи­сали договор о партнерстве по кибербезопасности. Это согла­шение нацелено на стимулирование конкурентоспособность и инноваций в области цифровой безопасности в частном сек­торе. ECSO включает в себя более 200 членов, том числе круп­ные компании в сфере кибербезопасности, малые и средние предприятия, и стартапы, исследовательские центры, универ­ситеты, кластеры и ассоциации. Таким образом, воплощается в жизнь курс на активное взаимодействие с негосударственны­ми участниками отношений в цифровой среде.

Согласно промежуточным итогам реализации Стратегии Единого цифрового рынка отмечено, что характер угроз в по­следние пять лет значительно изменился, поэтому Стратегию кибербезопасности ЕС 2013 года необходимо пересмотреть. В настоящее время проводится оценка ее эффективности. В 2017 году Европейская комиссия предложила также учредить на основе ENISA новый орган - Агентство по кибербезопасно­сти ЕС, с одновременным созданием общеевропейской сети сертификации продуктов и услуг информационно-коммуни­кационных технологий. Таким образом, создание системы органов и агентств для противодействия киберугрозам на об­щеевропейском уровне продолжится.

Вместе с тем Европейская комиссия указывала, что уро­вень осведомленности и сознательности европейских граждан и компаний о проблемах кибербезопасности остается низким, начиная с базовых основ поиска информации и заканчивая поведением в случае кибер-инцидентов. Как отмечалось, на уровне государства-членов ЕС понадобится вести более актив­ную информационно-образовательную работу.

Таким образом, развитие цифровой экономики является очевидным приоритетом для Европейского союза. Для создания стабильно функционирующего Единого цифрового рынка од­ним из ключевых условий является обеспечение кибербезопас­ности. Важнейшими сферам регулирования, которым ЕС уделяет особое внимание, являются защита персональных данных и обе­спечение безопасности объектов критической инфраструктуры. Обеспечить реализацию фундаментального права на защиту пер­сональных данных призвана масштабная реформа, направленная на унификацию правового регулирования этой области. В рамках этой реформы будут обновлены ключевые законодательные акты ЕС. Для укрепления безопасности объектов критической инфра­структуры ЕС использует тактику гармонизации, принимая Ди­рективы, устанавливающие минимальные общие стандарты.

Разумеется, уверенно судить о результатах реализации большинства инициатив можно будет только после вступления в силу Регламентов и полной имплементации Директив. Многие положения Директив были сформулированы максимально ком­промиссно. Следовательно, можно ожидать, что практическое примирение положений европейского законодательства в обла­сти сетевой и информационной безопасности окажется государ­ствах-членах ЕС весьма различным. Созданная в Евросоюзе сеть органов и агентств может позволить минимизировать негатив­ные последствия споров, возникающих в силу имеющихся раз­личий, в том числе в технических возможностях.

В ближайшие несколько лет можно ожидать продолже­ния дискуссий в отношении Регламента об уважении частной жизни и защите персональных данных. Но уже сегодня можно отметить, что ЕС продолжает тенденцию на сближение норм по защите персональных данных, фактически перейдя к уни­фикации правового регулирования в этой сфере. Прямое дей­ствие Общего регламента по защите данных должно обеспе­чить высокий уровень координации всех государств. Неясным пока остается ответ на вопрос о внешней реакции на новое европейское законодательство в сфере защиты персональных данных. Но вполне возможно, что именно подход Европейско­го союза послужит основой общемировой практики.

КАЦЫ Дмитрий Васильевич
кандидат исторических наук, доцент кафедры истории и регионоведения Санкт-Петербургского государственного университета телекоммуникаций им. профессора М. А. Бонч-Бруевича

ШМАТКОВА Любовь Павловна
магистр юриспруденции, независимый исследователь, выпускница Московского государственного института международных отношений (Университета) МИД России.